PHP培訓之php中一些安全性防止問題建義（下）

php中一些安全性防止問題建義。只要我們作好了各類操作就可在基本防止一些朋友利用網(wǎng)站本身的漏洞進行網(wǎng)站操作了，很多在php中都有的如XSS用htmlentities()預防XSS攻擊


4、 驗證數(shù)據(jù)來源，避免遠程表單提交
不要使用$_SERVER['HTTP_REFERER']這個超級變量來檢查數(shù)據(jù)的來源地址，一個很小的菜鳥黑客都會利用工具來偽造這個變量的數(shù)據(jù)，盡可能利用Md5，或者rand等函數(shù)來產(chǎn)生一個令牌，驗證來源的時候，驗證這個令牌是否匹配。

5、 保護會話數(shù)據(jù)，特別是Cookies
Cookie是保存在用戶的計算機上的，保存之后任何用戶都有可能出于某種原因更改他，我們必須對敏感數(shù)據(jù)進行加密處理。Md5、sha1都是個不錯的加密方法。

6、 利用htmlentities()預防XSS攻擊
對用戶可能輸入腳本語言的地方的數(shù)據(jù)進行htmlentities()操，將多數(shù)可以產(chǎn)生程序錯誤的用戶輸入進行實體化。記住要遵循第一個習慣：在 Web 應用程序的名稱、電子郵件地址、電話號碼和帳單信息的輸入中用白名單中的值驗證輸入數(shù)據(jù)。